Abo
  • Services:
Anzeige
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen.
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen. (Bild: GIT Logo / Jason Long/CC-BY 3.0)

Git und Co: Bösartige Code-Repositories können Client angreifen

Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen.
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen. (Bild: GIT Logo / Jason Long/CC-BY 3.0)

Mittels spezieller SSH-URLs kann ein Angreifer Code in den Client-Tools von Quellcode-Verwaltungssystemen ausführen. Der Fehler betrifft praktisch alle verbreiteten Quellcode-Verwaltungssysteme wie Git, Subversion, Mercurial und CVS.

Ein Mitarbeiter der Firma Recurity Labs hat eine Sicherheitslücke gefunden, die in ähnlicher Weise alle gängigen Quellcode-Verwaltungssysteme betrifft. Ursprünglich entdeckt wurde der Bug in einer Erweiterung namens Git LFS, die dazu dient, große Dateien in Git-Repositories zu verwalten. Doch wie sich herausstellt, sind auch Git selbst sowie dessen Konkurrenten Subversion und Mercurial betroffen. Auch das uralte CVS hat einen ähnlichen Bug.

Anzeige

Repositories, auf die über SSH zugegriffen wird, können in Git mit einer URL der Form ssh:// referenziert werden. Wenn man in diese URL Kommandozeilenoptionen mit übergibt, werden diese ungefiltert an SSH weitergegeben. Eine solche URL könnte dann etwa so aussehen: ssh://-oProxyCommand=gnome-calculator

ProxyCommand in URL erlaubt Codeausführung

In diesem Fall wird die Option ProxyCommand von OpenSSH gesetzt. Diese Option ist eigentlich dazu gedacht, die Ausgabe von Befehlen über eine SSH-Verbindung zu tunneln. Sie kann hier aber mißbraucht werden, um Code auszuführen.

Relevant ist dieses Szenario, wenn ein Nutzer Code von einem nicht vertrauenswürdigen Server auscheckt, der den Angriff durchführt. Im Fall von Git kann der Server etwa in das Repository ein Git-Submodul mit einer solchen bösartigen URL einfügen und damit Code auf dem Client ausführen.

Git, Subversion und Mercurial haben koordiniert neue Versionen veröffentlicht, die die entsprechenden Lücken beheben. Diese haben die IDs CVE-2017-1000117 (Git), CVE-2017-9800 (Subversion) und CVE-2017-1000116 (Mercurial).

Auf der Mailingliste oss-security wies ein Nutzer darauf hin, dass CVS von dem Problem ebenfalls betroffen ist. CVS war lange Zeit ein sehr beliebtes Quellcode-Verwaltungstool, inzwischen wird es jedoch nur noch von wenigen Projekten genutzt. Die letzte Version wurde 2005 veröffentlicht. Mit einem offiziellen Fix ist also eher nicht zu rechnen.


eye home zur Startseite
RandomCitizen 14. Aug 2017

Das kenne ich gar nicht. Wo kann man -- eingeben und was macht das?

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. Daimler AG, Stuttgart
  3. T-Systems International GmbH, Wolfsburg
  4. Bechtle GmbH IT-Systemhaus, Nürtingen


Anzeige
Spiele-Angebote
  1. 47,99€
  2. 7,49€
  3. 99,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  2. Nvidia

    Keine Volta-basierten Geforces in 2017

  3. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  4. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  5. id Software

    Quake Champions startet in den Early Access

  6. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  7. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  8. Open Source Projekt

    Oracle will Java EE abgeben

  9. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  10. Forum

    Reddit bietet native Unterstützung von Videos



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

  1. Re: Die Menschen schauen gerne in die...

    Ispep | 11:18

  2. Re: Deshalb braucht man Konkurrenz

    Niaxa | 11:18

  3. ..

    senf.dazu | 11:11

  4. Re: Kleine Onlineshops: Zu teuer, schlechter...

    Ispep | 11:10

  5. Re: Und warum ist das "lästig"?

    Hello_World | 11:05


  1. 11:21

  2. 17:56

  3. 16:20

  4. 15:30

  5. 15:07

  6. 14:54

  7. 13:48

  8. 13:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel